構建主動安全防護能力的6個關鍵技術
當前,網絡安全形勢更加嚴峻,而傳統安全建設思路以被動防御為主,基于已知的攻擊特征和規則匹配形成防護,缺乏對新型威脅的安全感知能力和應對手段。在企業安全防護更強調攻防對抗和有效性的背景下,構建主動安全防護能力體系,將是有效應對日益復雜的網絡攻擊手段,保障企業數字化轉型成功的必要路徑。
盡管企業用戶對主動安全防護需求旺盛,但是一些主動安全產品還不夠成熟,存在誤報率高、實施難度大、可管理性差等問題,導致實際應用表現差強人意。在2023年,我們可以重點關注并積極嘗試以下6種較為成熟的主動安全防護技術/產品,推進組織新一代安全能力體系構建:
01、安全態勢管理(SPM)
被動式的響應安全事件,往往會耗費安全人員大量精力,同時又難以避免對企業財產和業務造成損失。而安全態勢管理方案則可以自動識別和修復整個企業數字化環境中的風險,幫助企業安全管理者進行風險可視化、自動化事件響應和合規性監控。
目前SPM技術包含有多種類型,包括了專注于云基礎設施(包括IaaS、SaaS和PaaS)的云安全態勢管理,以及識別敏感數據并確保其安全的數據安全態勢管理。
不過在2023年,對企業組織而言最重要的SPM技術可能是SaaS安全態勢管理(SSPM),主要用于檢測和修復SaaS應用程序中的錯誤配置和其他問題。SSPM是云訪問安全代理(CASB)技術發展以來SaaS安全領域最重要的創新之一,雖然CASB仍然屬于一種被動安全防護模式,但SSPM尋求實施最嚴格的安全策略,同時仍然使應用程序對組織保持可行。
此外,云安全態勢管理(CSPM)也是SPM一個重要的細分應用,旨在識別云中的錯誤配置問題和合規風險。CSPM解決方案的一個重要目標是持續監控云基礎設施,以發現安全策略執行方面的漏洞。
02、攻擊面管理(ASM)
ASM技術要求持續發現和監控企業所有的數字化資產,從應用程序、數字證書、代碼到移動和物聯網設備,以保持已知和未知資產的可見性。據最新調查數據顯示,目前,有52%的受訪企業組織管理著超過10,000個數字資產,因此ASM將是一項重要且不斷增長的技術。
安全專家認為,ASM是安全分析技術的進步,是傳統威脅檢測與響應類技術方案的能力延伸。ASM利用了威脅檢測響應中惡意活動意識增強的趨勢,并將其進一步擴展。它回答了很多問題,比如企業哪里可能成為目標,哪里缺乏可見性,組織的攻擊面整體是什么樣的?在哪些方面缺乏足夠的監控措施?或者說,企業是否真正具備了應有的防御機制和能力?
根據Gartner的描述,ASM技術需要超越傳統資產的識別范圍(如端點、服務器、設備或應用程序等),通過將發現的資源整合到資源庫,使用戶可以了解到傳統威脅檢測工具的覆蓋缺口。ASM還可以通過API集成提供自動化的數據收集,取代傳統手動和低效的資產收集分析模式,幫助安全團隊實現對整體環境的安全控制、安全態勢感知和資產風險修復,從而主動改善企業的數字化安全狀況。
03、入侵和攻擊模擬(BAS)
入侵和攻擊模擬(BAS)也是由Gartner首先提出的概念,并將之歸到了新興技術行列。正如 Gartner 描述的,此類工具“可供安全團隊以一致的方式持續測試安全控制措施,貫穿從預防到檢測乃至響應的整個過程”。BAS與傳統的滲透測試和漏洞管理工具有根本上的不同。后兩種方法都需要大量的人工指導,實際上會為安全團隊制造更多的工作和帶來更多誤報。相比之下,BAS完全自動化,并在全面的劇本中模擬數千種攻擊。
BAS工具能夠高效一致地衡量現有安全檢測功能及運營的有效性。模擬結果可幫助指導產品投資及配置決策以堵上安全漏洞,還有助于補全企業領導的網絡安全知識空缺,比如:攻擊者能悄悄繞過我們的防御嗎?我們適用的風險是什么?這些風險對我們能造成什么樣的影響?這可以使安全人員處于影響短期投資決策、參與長期安全規劃的位置上,還能從商業角度總結出安全運營上的改善。
04、網絡安全性能管理(CPM)
網絡安全性能管理(Cybersecurity performance management)主要是監控了解企業現有安全防護體系的性能表現和產品工作狀態,并以此評估企業應對網絡安全風險的整體能力和健康指標。通過CPM,企業可以對部署的各種重要網絡設備和安全防護產品進行監測,并對監測過程中采集的數據進行分析,從而實施評估數字化系統的運行狀況和穩定性。CPM的典型功能包括:
- 性能監控:由企業定義需要監控的對象及其屬性,定時采集相關對象的檢測數據,自動生成性能報告;
- 閾值控制:針對不同的時間段和性能指標,為監控對象的運行屬性設置閾值,并提供相應的閾值管理和警報機制;
- 性能分析:對監測數據進行統計、整理和分析,結合性能指標判斷網絡安全態勢,為安全管理者提供參考;
- 可視化報告:對性能分析結果進行記錄和處理,生成性能趨勢曲線,以圖形方式直觀反映安全防護體系性能狀態;
- 性能查詢:可通過列表或關鍵字等方式檢索安全防護系統的實時或歷史性能狀態。
05、云基礎設施授權管理(CIEM)
云計算應用已成為企業數字化發展的重要趨勢,保障云應用安全將是企業安全團隊的重要工作任務。云基礎設施授權管理(CIEM)是一種采取了主動性安全防護模式的云安全創新技術,它補充了而不是替代了現有威脅檢測與響應技術的被動安全防護模式。CIEM技術可以發現企業業務上云后的訪問權限范圍,并執行最小權限原則,即授予用戶執行工作所需的最小權限。例如,CIEM可以檢測對云資源的過度訪問。一旦確定,CIEM工具可以提出合理的安全建議,甚至自動執行所需的更改。
06、安全即服務(SECaaS)
隨著網絡安全運營工作變得越來越復雜,而安全人才仍然稀缺,預計會有更多的組織轉向選購安全即服務。通過SECaaS模式,企業可以將網絡安全管理任務移交給有經驗的專業第三方安全公司,如托管安全服務提供商(MSSP)。目前,主流的SECaaS服務范圍包括了從維護廣泛的安全功能到監督特定的系統,如安全信息和事件管理、CASB和安全訪問服務邊緣。
對于企業而言,想要依靠自身的安全團隊充分運營好所有的安全產品和工具會面臨很多挑戰,但尋找到適合的MSSP或SECaaS提供商卻相對容易,他們可以幫助企業識別各種類型的安全漏洞,并以合理的成本解決企業面臨的安全問題。
